add: 마을/다락방 출석 편집 기능 및 출석 API 보안 강화

[min1336]

Summary

• 마을/다락방 단위로 출석을 편집할 수 있는 어드민 탭을 신설하고, 기존 출석 현황은 별도 탭으로 분리했습니다
• 출석 편집 API를 신설(/update-attendance 단건 + /update-attendance-bulk 일괄)하고 인가·입력 검증·응답 최소화·207 Multi-Status를 적용해 보안과 일관성을 강화했습니다
• 모바일 화면에서의 출석 관리 UX를 최적화했습니다

주요 변경

🆕 기능

• EditTab (신규, ~1160줄): 마을 → 다락방 → 순원 3컬럼 뷰에서 개별/일괄 출석 편집, 사유 다이얼로그, Undo 스낵바 지원
• OverviewTab (신규, ~251줄): 기존 page.tsx의 현황 보기 로직을 독립 탭으로 분리
• page.tsx: 두 탭을 스위칭하는 얇은 셸로 축소 (204줄 → 32줄)

🔒 보안 / 권한

• 서버 권한 로직을 server/src/model/attendance.ts로 분리
• Leader / VillageLeader 권한 범위 명시적 분기
  • Leader: 본인 community와 동일한 community만 편집 가능
  • VillageLeader: 본인 community의 subtree 전체
  • Admin: 전권
• isAttend/memo 입력 검증 (단건·일괄 모두 적용)
• 403 응답 본문 `"Forbidden"`으로 단축 (정보 노출 방지)

⚡ 성능

• isInSubtree: id→node Map으로 O(1) 조회 + 30초 모듈 캐시로 중복 DB 조회 제거
• 일괄 저장: 10개씩 클라이언트 배치 → 단일 서버 bulk endpoint(최대 100건, 207 Multi-Status) 로 승격
• bulk 응답은 per-item status (ok / forbidden / invalid / error)로 부분 실패 명확화

📱 UX

• AttendCell 모바일 렌더링 개선
• leader/all-attendance 페이지 정보 밀도 조정 + 권한 체크 후 fetch (불필요 트래픽 제거)
• 서버 영문 에러 코드 → 한국어 메시지 매핑 유틸(util/attendanceError.ts)

🔄 Review 반영 (Round 2)

코멘트	반영 내용
Leader/VillageLeader 범위 분리	canEditUserAttendance에서 role별 분기
isInSubtree 성능	id→node Map + 30초 캐시
미사용 MUI import	EditTab의 Select/MenuItem/FormControl/InputLabel 제거
bulk edit 동시성	클라 배치 → 서버 bulk endpoint 도입 (207 Multi-Status)
memo 덮어쓰기 버그	if (typeof memo === "string") 조건부 업데이트
fetchCommunities 순서	권한 체크 후 호출하도록 early return
라우터 → model 분리	server/src/model/attendance.ts 신설
에러 메시지 UX	util/attendanceError.ts 매핑 유틸 (단건·bulk 통합)
"우린 ssg임"	AttendanceTable 주석 SSR-safe → SSG로 교정
onSave 가독성	JSX 삼항 → handleSave 변수 추출
"use client" 누락 경고 (Copilot)	SSG/부모 상속 관례상 false positive로 판정, 원복

Test plan

• 클라이언트 빌드 성공 (cd client && npm run build)
• 서버 타입체크 통과 (cd server && npx tsc --noEmit)
• 클라이언트 타입체크 통과 (cd client && npx tsc --noEmit)
• 배포 후 Leader 계정으로 자기 community 출석 1건 편집 스모크 테스트
• 배포 후 VillageLeader 계정으로 subtree 일괄 저장 스모크 테스트
• 배포 후 403 / 207 응답 비율 모니터링

비고

• DB 엔티티 / 마이그레이션 변경 없음
• JWT payload 구조 변경 없음 → 기존 세션 유지
• 신규 의존성 없음

후속 검토 (별도 PR 권장)

• 캐시 갱신 single-flight 패턴 (현재는 동시 갱신 시 DB 중복 조회 가능)
• bulk endpoint 동시성 제한 (pLimit 등으로 DB connection pool 보호)
• bulk 부분 실패 시 transaction 도입 검토

🤖 Generated with Claude Code

[Copilot]

Pull request overview

Adds an admin attendance editing experience (village → darak → user) and introduces a new attendance update API with role-based authorization, while reorganizing existing attendance “overview” into a separate tab and improving mobile UX for attendance management.

Changes:

• Server: add POST /admin/soon/update-attendance with JWT auth + role/subtree-based authorization and input validation.
• Client (admin): split attendance page into OverviewTab and new EditTab (bulk edit, memo dialog, undo snackbar), with tab switching shell.
• Client (tables): make attendance cells editable (popover editor) and wire save handlers into existing tables (including leader view).

Reviewed changes

Copilot reviewed 7 out of 7 changed files in this pull request and generated 9 comments.

Show a summary per file

File	Description
server/src/routes/admin/soonRouter.ts	Adds secured attendance update endpoint + subtree authorization helpers.
client/src/app/leader/all-attendance/page.tsx	Wires editable attendance table + save handler on leader attendance page.
client/src/app/admin/soon/attendance/page.tsx	Converts the admin attendance page into a tabbed shell for overview/edit.
client/src/app/admin/soon/attendance/OverviewTab.tsx	Extracts existing overview logic into a dedicated tab and adds cell-save wiring.
client/src/app/admin/soon/attendance/EditTab.tsx	New bulk-edit UI with filters, selection, memo dialog, and undo flow.
client/src/app/admin/soon/attendance/AttendanceTable.tsx	Adds editable mode + cell save callback support; switches to useMediaQuery.
client/src/app/admin/soon/attendance/AttendCell.tsx	Adds editable popover editor for per-cell attendance updates.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

[Copilot]

This component now uses React hooks (useTheme/useMediaQuery) but the file is missing the "use client" directive, which will cause a Next.js App Router build error (hooks in a Server Component / Client Component import boundary violation). Add "use client" at the top of this file.

[Copilot]

PR description says Leader can edit only within their own 다락방, while VillageLeader can edit the whole subtree. Current logic treats Leader and VillageLeader the same (subtree check), so a Leader would also be able to edit descendants if any exist. Consider enforcing Leader => target.community.id === requester.community.id, and VillageLeader => isInSubtree.

[Copilot]

isInSubtree() does a full community table read on every attendance update and repeatedly scans the array via all.find() during traversal. This can become a noticeable bottleneck under frequent edits. Consider precomputing an id->node map (or caching the community tree for a short TTL) to make lookups O(1) and avoid repeated DB reads per request.

[Copilot]

These MUI imports (Select/MenuItem/FormControl/InputLabel) appear unused in this file (schedule selection uses TextField with SelectProps.native). Removing them will reduce bundle size and avoid lint noise.

Suggested change

	Select,
	MenuItem,
	FormControl,
	InputLabel,

[Copilot]

Bulk edit currently fires one HTTP request per selected user via Promise.allSettled(ids.map(...axios.post...)). With large selections this can overload the server and hit browser connection limits. Consider adding a server-side bulk update endpoint (accepting userIds[]) or batching/limiting concurrency on the client.

Suggested change

	const results = await Promise.allSettled(
	ids.map((userId) =>
	axios.post("/admin/soon/update-attendance", {
	userId,
	worshipScheduleId: selectedScheduleId,
	isAttend: status,
	memo,
	}),
	),
	)
	const successfulIds: string[] = []
	ids.forEach((id, i) => {
	if (results[i].status === "fulfilled") successfulIds.push(id)
	})
	setAttendData((prev) => {
	const map = new Map(prev.map((d) => [d.user.id, d]))
	successfulIds.forEach((userId) => {
	const existing = map.get(userId)
	if (existing) {
	map.set(userId, { ...existing, isAttend: status, memo })
	} else {
	map.set(userId, {
	id: "local-" + userId,
	user: { id: userId } as User,
	worshipSchedule: {
	id: Number(selectedScheduleId),
	} as WorshipSchedule,
	isAttend: status,
	memo,
	} as AttendData)
	}
	})
	return Array.from(map.values())
	})
	setSaving(false)
	const failed = ids.length - successfulIds.length
	if (failed > 0) {
	error(`${failed}건 저장 실패`)
	}
	// Phase 3: Undo 액션 준비 (성공한 것만)
	if (successfulIds.length > 0) {
	const snapshot = new Map<
	string,
	{ status: StatusFilter; memo: string }
	>()
	successfulIds.forEach((id) => {
	const prev = previousStates.get(id)
	if (prev) snapshot.set(id, prev)
	})
	setUndoAction({
	userIds: successfulIds,
	previousStates: snapshot,
	newStatus: status,
	scheduleId: Number(selectedScheduleId),
	})
	}
	setCheckedIds(new Set())
	try {
	const BULK_SAVE_BATCH_SIZE = 10
	const results: PromiseSettledResult<unknown>[] = []
	for (let i = 0; i < ids.length; i += BULK_SAVE_BATCH_SIZE) {
	const batchIds = ids.slice(i, i + BULK_SAVE_BATCH_SIZE)
	const batchResults = await Promise.allSettled(
	batchIds.map((userId) =>
	axios.post("/admin/soon/update-attendance", {
	userId,
	worshipScheduleId: selectedScheduleId,
	isAttend: status,
	memo,
	}),
	),
	)
	results.push(...batchResults)
	}
	const successfulIds: string[] = []
	ids.forEach((id, i) => {
	if (results[i].status === "fulfilled") successfulIds.push(id)
	})
	setAttendData((prev) => {
	const map = new Map(prev.map((d) => [d.user.id, d]))
	successfulIds.forEach((userId) => {
	const existing = map.get(userId)
	if (existing) {
	map.set(userId, { ...existing, isAttend: status, memo })
	} else {
	map.set(userId, {
	id: "local-" + userId,
	user: { id: userId } as User,
	worshipSchedule: {
	id: Number(selectedScheduleId),
	} as WorshipSchedule,
	isAttend: status,
	memo,
	} as AttendData)
	}
	})
	return Array.from(map.values())
	})
	const failed = ids.length - successfulIds.length
	if (failed > 0) {
	error(`${failed}건 저장 실패`)
	}
	// Phase 3: Undo 액션 준비 (성공한 것만)
	if (successfulIds.length > 0) {
	const snapshot = new Map<
	string,
	{ status: StatusFilter; memo: string }
	>()
	successfulIds.forEach((id) => {
	const prev = previousStates.get(id)
	if (prev) snapshot.set(id, prev)
	})
	setUndoAction({
	userIds: successfulIds,
	previousStates: snapshot,
	newStatus: status,
	scheduleId: Number(selectedScheduleId),
	})
	}
	setCheckedIds(new Set())
	} finally {
	setSaving(false)
	}

[Copilot]

This component uses useState and renders a Popover, but the file is missing the "use client" directive. In Next.js App Router this will fail to compile because hooks can’t run in Server Components. Add "use client" at the top of this file.

[Copilot]

Authorization check currently delegates both Leader and VillageLeader to isInSubtree(). If you need the stricter Leader-only-own-community rule (per PR description), this call site needs branching by role before applying the subtree check.

[Copilot]

memo is treated as optional in validation, but later memo || "" is always written to the DB. If the caller omits memo, this will clear any existing memo unexpectedly. Consider either requiring memo explicitly, or only updating memo when it is provided (leave existing.memo unchanged when memo is undefined/null).

[Copilot]

In this effect, fetchCommunities() runs before the role check/redirect. For non-VillageLeader users this triggers an unnecessary /admin/community request (and may flash errors). Consider checking authUserData.role first, redirecting early, and only fetching when authorized.

[iubns]

여긴 라우터라서 로직이 필요하다면 로직은 model 쪽으로 옮기면 좋을거 같아요.

[iubns]

에러를 프론트에 그대로 보여주기에, 사용자가 알기 쉬운 문구로 내려주거나, 프론트에서 에러 코드에 대한 처리를 따로 해주거나 하면 좋을거 같아요

[iubns]

우린 ssg임

[iubns]

가독성이 떨어짐

[min1336]

@iubns 리뷰 코멘트 4건 모두 반영했고, Copilot 9건 중 7건 반영 + 2건은 SSG/부모 상속 관례상 false positive로 정리했습니다. 추가로 bulk 처리는 클라 배치 대신 서버 bulk endpoint(207 Multi-Status)로 승격, isInSubtree는 30초 캐시 적용했어요. 본문 표 참고해주세요. 다시 봐주시면 감사합니다 🙏